Sicherheitslücke in Spotify kann zu Phishing führen

Originalartikel von Simon Huang, Mobile Security Engineer

Trend Micros Bedrohungsforscher haben eine Sicherheitslücke entdeckt, die die Spotify-App für Android in älteren Versiionen als 1.1.1 gefährdet. Wird die Lücke ausgenützt, so können Angreifer die Kontrolle über das erlangen, was auf dem Mobilgerät angezeigt wird. Damit lassen sich Phishing-Angriffe starten.
Spotify hat schnell reagiert und den Fehler in der Version 1.1.1 beseitigt. Anwender sollten sicherstellen, dass sie die neueste Version der App  im Einsatz haben.

Betroffene Aktivität

Die Sicherheitslücke betrifft eine bestimmte Aktivität (com.spotify.mobile.android.ui.activity.TosTextActivity), mit deren Hilfe Webseiten auf der App angezeigt werden. Die Sicherheitslücke erlaubt es, dass Inhalte dieser exportierten Webseiten auch für andere, auf dem Gerät installierte Apps sichtbar sind. Darüber hianus kann eine weitere App, ein Prozess oder Thread die Aktivität anstoßen, ohne zusätzliche Berechtigungen zu fordern.

Mit einer bösartige App ist ein Angreifer in der Lage, diese Aktivität dahingehend zu missbrauchen, den angezeigten Inhalt zu verändern. Die Forscher konnten etwa die Google-Homepage auf der Spotify-App anzeigen.


Bild 1. Offizielle Spotify-App zeigt die Google-Homepage an


Bild 2. “Bösartige” Seite, die von der App dargestellt werden kann

Auch kann die bösartige App die Aktivität beliebig anstoßen und “minimieren”. Versucht ein Nutzer Spotify zu stoppen, indem er den „Zurück“-Button drückt, so wird der verseuchte Inhalt auf dem Bildschirm angezeigt. Wer die App nicht sehr gut kennt, könnte die Aktion für eine normale Routine halten.

Aufgrund der Tatsache, dass mögliche Angriffe keine zusätzlichen Berechtigungen erfordern, wird der Anwender keine verdächtigen Aktivitäten vermuten. Auch AV-Lösungen und Bedrohungsforscher werden es damit schwer haben, bösartige Aktivitäten zu entdecken.

Potenzial für Phishing-Angriffe

Angreifer könnten die Sicherheitslücke dafür ausnützen, um Phishing-Seiten zu erstellen, die kritische Informationen abfragen, etwa Nutzername, Passwort, Kontakt- oder gar Kontoinformationen. Letztere erwecken keinen Verdacht, da Spotify sowohl kostenlose als auch kostenpflichtige Dienste bietet. Auch Seiten, die zu anderen Bedrohungen führen, sind denkbar. Die Sicherheitslücke liegt in der offiziellen App (im Gegensatz zu einer gefälschten), und diese Tatsache lässt Nutzer glauben, was sie sehen. Diese Szenarien ähneln denen, die Trend Micro im Blog bereits beschrieben hat.

 

Ein Gedanke zu „Sicherheitslücke in Spotify kann zu Phishing führen

  1. Pingback: Achtung Android-User: Spotify-App unbedingt aktualisieren | TBS-MULTIMEDIA VIDEO GRAPHIK DESIGN & INTERNET

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*